Broadcom ha publicado actualizaciones de seguridad para abordar tres fallas de seguridad explotadas activamente en VMware ESXi, estación de trabajo y productos de fusión que podrían conducir a la ejecución del código y la divulgación de información.
La lista de vulnerabilidades es la siguiente –
- CVE-2025-22224 (Puntuación CVSS: 9.3)-Una vulnerabilidad de tiempo de uso (TCCTOU) de tiempo de control que conduce a una escritura fuera de los límites, que un actor malicioso con privilegios administrativos locales en una máquina virtual podría explotar para ejecutar el código como el proceso VMX de la máquina virtual que se ejecuta en el host en el host en el host en el host en el anfitrión
- CVE-2025-22225 (Puntuación CVSS: 8.2) – Una vulnerabilidad de escritura arbitraria que un actor malicioso con privilegios dentro del proceso VMX podría explotar para dar como resultado un escape de sandbox
- CVE-2025-22226 (Puntuación CVSS: 7.1): una vulnerabilidad de divulgación de información debido a una lectura fuera de los límites en HGFS que un actor malicioso con privilegios administrativos a una máquina virtual podría explotar a la memoria de fuga del proceso VMX
Las deficiencias afectan las versiones a continuación –
- VMware ESXI 8.0-fijo en ESXI80U3D-24585383, ESXI80U2D-24585300
- VMware ESXI 7.0 – fijo en ESXI70U3S -24585291
- VMware Workstation 17.x – fijado en 17.6.3
- VMware Fusion 13.x – fijo en 13.6.3
- VMware Cloud Foundation 5.x – Patch Async a ESXI80U3D -24585383
- VMware Cloud Foundation 4.x – Patch Async a ESXI70U3S -24585291
- VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x – fijo en ESXI 7.0U3S, ESXI 8.0U2D y ESXI 8.0U3D
- VMware Telco Cloud Infraestructura 3.x, 2.x – fijo en ESXI 7.0U3S
En una pregunta frecuente separada, Broadcom reconoció que tiene «información para sugerir que la explotación de estos problemas ha ocurrido» en la naturaleza «, pero no explicó la naturaleza de los ataques o la identidad de los actores de amenaza que los han armado.
El proveedor de servicios de virtualización acreditó al Centro de Inteligencia de Amenazas de Microsoft por descubrir e informar los errores. A la luz de la explotación activa, es esencial que los usuarios apliquen los últimos parches para una protección óptima.
Actualizar
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha agregado las tres vulnerabilidades de día cero a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren que las agencias civiles federales las reparen antes del 25 de marzo de 2025.
«Esta es una situación en la que un atacante que ya ha comprometido el sistema operativo invitado de una máquina virtual y obtuvo acceso privilegiado (administrador o raíz) podría pasar al hipervisor mismo», agregó VMware.